OpenClaw插件系统换血式重构-ClawHub成官方唯一分发渠道
开源AI Agent领域的明星项目OpenClaw推出了代号为「3.22」的重大版本更新,一口气重构了整个插件系统架构,将官方插件市场ClawHub确立为唯一分发渠道,同时补上了十多个安全漏洞,并把默认模型升级到了GPT-5.4。
插件生态彻底换骨
这次更新的核心变化集中在插件系统上。旧的extension-api接口被一刀切地移除,没有任何兼容层或过渡方案,取而代之的是全新的plugin-sdk模块化接口。这意味着所有依赖旧API的第三方插件都需要迁移才能继续使用。
插件安装的默认来源也变了。以前执行openclaw plugins install命令,系统直接从npm拉取包。现在,ClawHub成为首选渠道——只有在ClawHub上找不到的包,才会回退到npm。官方的解释很直接:npm是个通用包管理器,谁都能发包,质量参差不齐;ClawHub则是官方维护的插件市场,审核更严、来源更可控。
从生态角度看,这标志着OpenClaw的「净化运动」正式启动。插件开发者和使用者都被推向一个更规范、更可控的分发体系。
值得关注的是,3.22还新增了对Claude、Codex、Cursor三大主流开发工具插件包的发现与安装支持,能把外部插件包里的Skills自动映射到OpenClaw的技能体系中。从一个封闭的工具框架,到一个能吸纳外部生态的开放平台,这一步迈得相当果断。
安全漏洞集中封堵
安全修复是这次更新的另一个重头戏。版本一口气打了十多项安全补丁,其中几个相当关键。
第一个是Windows平台上的SMB凭证泄露漏洞。攻击者可以通过构造特殊的file://或UNC路径,在媒体加载环节触发Windows自动发起SMB认证握手,用户的Windows登录凭证就这样被送出去了。3.22在核心媒体加载和沙盒附件路径中全面拦截了这类远程路径。
第二个是执行环境沙盒加固。新版封锁了MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS等JVM注入路径,堵住了GLIBC_TUNABLES利用通道,还拦截了.NET的DOTNET_ADDITIONAL_DEPS依赖劫持。主流构建工具链的环境变量注入攻击,一次性全堵上了。
第三个是Unicode零宽字符审批伪装漏洞。之前有人发现可以用不可见的韩文填充码位来伪装执行命令的审批提示,让操作者在审批时看不到真实的命令内容。新版在网关和macOS原生审批界面中全面转义了这类字符。
第四个涉及语音通话Webhook的预认证防护。旧版本允许未认证的调用者以1MB/30秒的大缓冲窗口消耗服务器资源,新版把预认证的body读取限制压到64KB/5秒,并限制了单IP的并发预认证请求数。
对于公网部署的用户,这一版不是建议更新,是必须更新。
模型阵营扩军升级
模型层面的升级同样扎实。默认OpenAI模型正式切换到GPT-5.4,同时预置了gpt-5.4-mini和gpt-5.4-nano的前向兼容支持。
MiniMax方面,默认模型从M2.5升级到M2.7,还合并了此前分离的API和OAuth两个插件入口,统一成单一的minimax插件,配置复杂度大幅降低。
另一个亮点是Anthropic Vertex正式接入——用户可以通过Google Vertex AI直接调用Claude模型,包括GCP认证和自动发现。对于已经在Google Cloud上跑业务的团队,这条路径省去了不少集成工作。
此外,xAI的Grok目录同步到了最新版本,Z.AI的GLM更新到4.5/4.6系列,Mistral的定价元数据也终于不再显示「零成本」的误导信息。OpenClaw作为「模型路由器」的定位,正在被越来越多的一线大模型厂商认可。
多平台体验细节打磨
这次更新还包含大量体验层面的改进。Android端终于支持了跟随系统的深色模式,从引导页到聊天页到语音页全覆盖。Control UI新增了「圆角滑块」,用户可以自定义界面的圆角程度。
Telegram那边新增了DM论坛话题的自动重命名——首条消息进来后,系统会用LLM生成一个有意义的话题标签。还支持了静默错误回复模式,机器人的报错信息可以选择不发出通知提示音。
飞书的升级也值得一提。新增了结构化交互审批卡片和快捷操作启动卡片,支持了当前会话的ACP和子智能体绑定,还补上了推理流的渲染——思考过程以Markdown引用块的形式实时显示在同一张卡片里。
Agent引擎层面,长对话压缩机制做了多轮迭代,新版在压缩过程中会自动延长运行截止时间,避免大型会话压缩到一半被超时杀掉。默认Agent超时时间从600秒直接拉到了48小时,跑长任务的ACP会话终于不用被10分钟的默认限制卡脖子了。